En version av RansomEXX för Linux upptäcktes

Forskare från Kaspersky Lab har identifierat en Linux-version dskadlig programvara för ransomware "RansomEXX".

Ursprungligen RansomEXX distribuerades endast på Windows-plattformen och blev berömd på grund av flera stora incidenter med nederlag för systemen för olika myndigheter och företag, inklusive Texas Department of Transportation och Konica Minolta.

Om RansomEXX

RansomEXX krypterar data på disken och kräver sedan lösen för att få dekrypteringsnyckeln. 

Kryptering organiseras med hjälp av biblioteket mbedtls de Öppen källa. En gång lanserad, skadlig kod genererar en 256-bitars nyckel och använder den för att kryptera alla tillgängliga filer med AES-blockkryptering i ECB-läge. 

Efter det, en ny AES-nyckel genereras varje sekund, det vill säga olika filer krypteras med olika AES-nycklar.

Varje AES-nyckel krypteras med en RSA-4096 offentlig nyckel inbäddad i skadlig kod och bifogas varje krypterad fil. För dekryptering erbjuder ransomware att köpa en privat nyckel från dem.

En speciell egenskap hos RansomEXX är användning i riktade attacker, under vilka angripare får tillgång till ett av systemen i nätverket genom att kompromissa med sårbarheter eller socialtekniska metoder, varefter de attackerar andra system och distribuerar en speciellt monterad malware-variant för varje attackerad infrastruktur, inklusive namnet företaget och var och en av de olika kontaktuppgifterna.

Initialt, under attacken mot företagsnätverk, angriparna de försökte ta kontrollen så många arbetsstationer som möjligt för att installera skadlig programvara på dem, men den här strategin visade sig vara felaktig och i många fall installerades system helt enkelt om med en säkerhetskopia utan att betala lösen. 

Nu cyberkriminella strategi har förändrats y deras mål var att i första hand besegra företagsserversystem och särskilt till centraliserade lagringssystem, inklusive de som kör Linux.

Därför skulle det inte vara förvånande att se att RansomEXX-handlare har gjort det till en avgörande trend i branschen. Andra ransomware-operatörer kan också distribuera versioner av Linux i framtiden.

Vi upptäckte nyligen en ny filkryptering Trojan skapad som en ELF-körbar och avsedd att kryptera data på maskiner som styrs av Linux-baserade operativsystem.

Efter den första analysen märkte vi likheter i Trojans kod, lösensedelns text och den övergripande metoden för utpressning, vilket tyder på att vi verkligen hade hittat en Linux-version av den tidigare kända RansomEXX-familjen av ransomware. Denna skadliga program är känd för att attackera stora organisationer och var mest aktiv tidigare i år.

RansomEXX är en mycket specifik Trojan. Varje prov av skadlig kod innehåller ett kodat namn på offretsorganisationen. Dessutom använder både förlängningen av den krypterade filen och e-postadressen för att kontakta utpressarna namnet på offret.

Och den här rörelsen verkar redan ha börjat. Enligt cybersäkerhetsföretaget Emsisoft har förutom RansomEXX även operatörerna bakom Mespinoza (Pysa) ransomware nyligen utvecklat en Linux-variant från sin ursprungliga version av Windows. Enligt Emsisoft implementerades RansomEXX Linux-varianter som de upptäckte först i juli.

Det är inte första gången som malwareoperatörer överväger att utveckla en Linux-version av sin malware.

Vi kan till exempel citera fallet med skadlig programvara KillDisk, som hade använts för att förlama ett elnät i Ukraina 2015.

Denna variant gjorde "Linux-maskiner omöjliga att starta, efter att ha krypterat filerna och krävt en stor lösen." Den hade en Windows-version och en Linux-version, "vilket definitivt är något vi inte ser varje dag", konstaterade ESET-forskarna.

Slutligen, om du vill veta mer om det, kan du kontrollera detaljerna i Kaspersky-publikationen I följande länk.


4 kommentarer, lämna din

Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   TucuHacker.es sade

    Fantastisk! Bra inlägg! Skål

    1.    LinuxMain sade

      Linux var min enda räddning för att undvika skadlig programvara, verkligen synd ...

  2.   #MakeRansomExxGreatAgain sade

    HUR STOR! VI KAN ALLA RANSOMEXX ÅTERBORNA!

  3.   Julio Calisaya SI3K1 sade

    Utmärkt anmärkning